Informazioni sul contenuto di sicurezza di iOS 7.1.2

In questo documento viene descritto il contenuto di sicurezza di iOS 7.1.2.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

iOS 7.1.2

  • Certificate Trust Policy

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.

    Descrizione: il Certificate Trust Policy è stato aggiornato. Puoi visualizzare l'elenco completo dei certificati all'indirizzo http://support.apple.com/HT5012?v iewlocale=it_IT.

  • CoreGraphics

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file XBM dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: la gestione dei file XBM presentava un problema di allocazione dello stack illimitato. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko di codedigging.com

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione potrebbe causare il riavvio improvviso del dispositivo.

    Descrizione: la gestione degli argomenti API con IOKitsi presentava un problema di dereferenziazione del puntatore null. Questo problema è stato risolto attraverso la convalida aggiuntiva degli argomenti API con IOKit.

    CVE-ID

    CVE-2014-1355: cunzhang di Adlab di Venustech

  • launchd

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi IPC. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1356: Ian Beer di Google Project Zero

  • launchd

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi di resoconto. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1357: Ian Beer di Google Project Zero

  • launchd

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un overflow di valori integer in launchd. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1358: Ian Beer di Google Project Zero

  • launchd

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un underflow di valori integer in launchd. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1359: Ian Beer di Google Project Zero

  • Lockdownd

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato in possesso di un dispositivo iOS potrebbe potenzialmente superare il blocco attivazione.

    Descrizione: i dispositivi eseguivano controlli incompleti durante l'attivazione, consentendo ai malintenzionati di superare parzialmente il blocco attivazione. Questo problema è stato risolto aggiungendo una verifica lato client dei dati ricevuti dai server di attivazione.

    CVE-ID

    CVE-2014-1360

  • Blocco schermo

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato in possesso di un dispositivo potrebbe superare il numero massimo consentito di tentativi falliti di inserimento del codice.

    Descrizione: in alcune circostanze il limite relativo al numero massimo consentito di tentativi falliti di inserimento del codice non veniva applicato. Questo problema è stato risolto attraverso ulteriori misure di applicazione del limite.

    CVE-ID

    CVE-2014-1352: mblsec

  • Blocco schermo

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico al dispositivo bloccato potrebbe essere in grado di accedere all'applicazione che si trovava in primo piano prima del blocco.

    Descrizione: si verificava un problema relativo alla gestione dello stato nella gestione dello stato di telefonia durante la modalità Uso in aereo. Questo problema è stato risolto attraverso una migliore gestione dello stato durante la modalità Uso in aereo.

    CVE-ID

    CVE-2014-1353

  • Mail

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: gli allegati di posta possono essere estratti da un iPhone 4.

    Descrizione: la protezione dei dati non era attivata per gli allegati di posta, rendendone possibile la lettura a un malintenzionato con accesso fisico al dispositivo. Questo problema è stato risolto modificando la classe di codifica degli allegati di posta.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz di NESO Security Labs

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di tipo "use-after-free" nella gestione degli URL non validi in Safari. Questo problema è stato risolto attraverso una migliore gestione della memoria.

    CVE-ID

    CVE-2014-1349: Reno Robert e Dhanesh Kizhakkinan

  • Impostazioni

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico al dispositivo potrebbe riuscire a disabilitare Trova il mio iPhone senza immettere una password iCloud.

    Descrizione: si verificava un problema nella gestione dello stato di Trova il mio iPhone. Questo problema è stato risolto migliorando la gestione dello stato di Trova il mio iPhone.

    CVE-ID

    CVE-2014-1350

  • Secure Transport

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: due byte di memoria non inizializzata potrebbero essere trasmessi a un utente malintenzionato remoto.

    Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione dei messaggi DTLS in una connessione TLS. Questo problema è stato risolto accettando solo i messaggi DTLS in una connessione DTLS.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade di The Adium Project

  • Siri

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad (3a generazione) e versioni più recenti

    Impatto: un individuo con accesso fisico al telefono potrebbe riuscire a visualizzare tutti i contatti.

    Descrizione: se una richiesta eseguita a Siri riguarda uno di molti contatti, Siri visualizza un elenco di scelte possibili e l'opzione "Altri" che consente di visualizzare l'elenco completo dei contatti. Se Siri viene utilizzato con il Blocco schermo, non richiede l'inserimento del codice per visualizzare l'elenco completo dei contatti. Questo problema è stato risolto chiedendo l'inserimento del codice.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen di OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi del Keen Team (team di ricerca di Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan dell'Università di Szeged/Samsung Electronics

    CVE-2014-1731: un membro anonimo della community di sviluppo di Blink

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito pericoloso può inviare messaggi a un riquadro connesso o a una finestra connessa in modo da poter eludere la verifica dell'origine del destinatario.

    Descrizione: è stato rilevato un problema relativo alla codifica nella gestione dei caratteri Unicode negli URL. Un URL nocivo poteva comportare l'invio di un'origine postMessage scorretta. Questo problema è stato risolto attraverso una migliore codifica/decodifica.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen di Facebook

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito dannoso potrebbe visualizzare un nome di dominio contraffatto nella barra degli indirizzi.

    Descrizione: esisteva un problema di spoofing nella gestione degli URL. Questo problema è stato risolto migliorando la codifica degli URL.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen di Facebook

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: